Verschillende kritieke kwetsbaarheden in de Ingress Nginx Controller voor Kubernetes maken het mogelijk voor ongeauthenticeerde aanvallers om op afstand kwetsbare Kubernetes-clusters over te nemen, zo stellen Kubernetes en securitybedrijf Wiz. Er zijn beveiligingsupdates uitgebracht om de problemen te verhelpen. Kubernetes is een opensourcesysteem voor het automatiseren van de uitrol en het beheer van applicaties die in containers draaien. Kubernetes-clusters worden vaak in een cloudomgeving gehost.

Ingress is een Kubernetes feature om een pod of pods toegankelijk voor het internet te maken. Een pod kan één of meerdere applicatiecontainers bevatten. Kubernetes-gebruikers kunnen bepalen hoe hun applicaties beschikbaar zijn voor het netwerk, waarbij een ingress controller het verkeer naar de juiste service routeert. Er zijn verschillende ingress controllers, waaronder ingress-nginx. Met een aandeel van meer dan veertig procent is het een zeer populaire controller voor Kubernetes-clusters.

Ingress-nginx vertaalt de vereisten van Ingress-objecten naar een configuratie voor de nginx-webserver. Nginx gebruikt die configuratie om requests naar verschillende applicaties die binnen de Kubernetes-cluster draaien te accepteren en routeren. De ontdekte beveiligingslekken raken specifiek de admission controller van ingress-nginx. Die heeft als doel om inkomende ingress objecten te valideren voordat ze worden uitgerold.

De onderzoekers ontdekten dat het mogelijk is om via het netwerk een malafide object naar de admission controller te versturen. Dit object injecteert vervolgens een nginx-configuratie die het mogelijk maakt om code uit te voeren. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 voor de gevaarlijkste kwetsbaarheid (CVE-2025-1974) beoordeeld met een 9.8.

"De verhoogde rechten van de admission controller en onbeperkte netwerktoegang zorgen voor een kritiek escalatiepad. Door dit lek te misbruik kan een aanvaller willekeurige code uitvoeren en toegang tot alle cluster secrets krijgen, waardoor de volledige cluster is over te nemen", aldus de onderzoekers. Een aanvaller moet wel eerst toegang tot het podnetwerk van de cluster krijgen, maar dat is volgens de onderzoekers niet zo lastig als gedacht.

Kubernetes bevestigt dit. "Gecombineerd met de andere kwetsbaarheden houdt CVE-2025-1974 in dat alles op het podnetwerk een goede kans heeft om je Kubernetes-cluster over te nemen, zonder dat inloggegevens of admintoegang zijn vereist. In veel voorkomende gevallen is het podnetwerk voor alle workloads in je cloud VPC toegankelijk, of zelfs voor iedereen die met je bedrijfsnetwerk is verbonden. Dit is een zeer ernstige situatie."

De onderzoekers stellen verder op basis van eigen analyse dat 43 procent van de cloudomgevingen kwetsbaar voor deze kwetsbaarheden is. Zo werden meer dan 6500 clusters gevonden, waaronder van Fortune 500-bedrijven, waarvan kwetsbare admission controllers vanaf het publieke internet toegankelijk zijn, en daardoor risico op aanvallen lopen.

Microsoft is inmiddels voor de vijf kwetsbaarheden (CVE-2025-1098, CVE-2025-1974, CVE-2025-1097, CVE-2025-24514 en CVE-2025-24513) met waarschuwingen gekomen en adviseert klanten die de kwetsbare controller voor hun Azure Kubernetes Service (AKS) clusters gebruiken om de patches te installeren. Amazon en Google Cloud zijn ook met advisories gekomen.